====== Amt Datenschutzbeauftragte ======
Dieses Dokument beschreibt das Amt des Datenschutzbeauftragten beim MRRC München e.V.
====== Hauptverantwortung ======
Kontrolle der Systeme und Verantwortlichen der Syteme auf Umsetzung der DSGVO bzw. MRRC Datenschutzrichtlinien.
In Zusammenhang mit dem Vorstand Prozesse für den Datenschutz erstellen bzw. ausbauen.
====== Voraussetzung für das Amt ======
Datenschutzwissen sollte vorhanden sein oder sich angeeignet werden.
Schulungen werden vom Verein unterstützt.
IT Wissen sollte vorhanden sein.
Es wird ein hohes Verantwortungsbewusstsein erwartet.
====== Einarbeitung in das Amt ======
Welche IT System betreibt bzw. nutzt der Verein?
Wo werden Datenschutz relevante Daten hinterlegt?
Wer administriert die Systeme in den Datenschutz relevante Daten hinterlegt werden?
====== Rechenschaftsbericht ======
Auf der Mitgliederversammlung soll sehr kurz auf die Maßnahmen und den Status vom Datenschutz eingegangen werden.
====== Einrichtung des Amtes ======
Anpassung der MRRC Webseite: [[https://www.mrrc.de/index.php/der-verein/organisation/vorstand-und-weitere-aemter]]
Anpassung der Weiterleitung der Funktionionsadresse datenschutz@mrrc.de
Person in der Nextcloud anlegen und in die Gruppe Datenschutzbeauftragte packen.
====== Tätigkeiten ======
===== Auftragsverarbeitungsvertrag =====
Es ist zu prüfen, ob es mit allen Dienstleistern einen Auftragsverarbeitungsvertrag gibt, die Datenschutz relevante Daten verarbeiten.
https://dsgvo-gesetz.de/themen/auftragsverarbeitung/
===== Datenschutzerklärungen =====
Prüfung, ob die verschiedenen Datenschutzerklärungen noch aktuell sind.
Wo liegen die unterschriebenen Datenschutzerklärungen?
Sind die Datenschutzerklärungen von ehemaligen Mitgliedern entsorgt.
===== Datenschutzerklärungen =====
Prüfung, ob die verschiedenen Datenschutzerklärungen noch aktuell sind.
Wo liegen die unterschriebenen Datenschutzerklärungen?
Sind die Datenschutzerklärungen von ehemaligen Mitgliedern entsorgt.
===== Datenschutzverpflichtung =====
Die Dateschutzverpflichtung ist von jedem Funktionsträger mit Zugriff auf Datenschutz relevante Informationen zu unterschreiben und im folgenden Ordner abzulegen.
MRRC_Datenschutz/Datenschutzverpflichtungen
Der Ordner ist zu prüfen und ggf. auch veraltete Datenschutzverpflichtungen zu löschen.
===== Sicherheitskonzept =====
Es ist zu prüfen, ob die Datenschutz relevanten Aspekte im Sicherheitskonzept (MRRC_Datenschutz/MRRC Regelungen Datenschutz/MRRC_Sicherheitskonzept.odt) noch aktuell sind.
===== Dokumente zur Vorstandswechsel =====
Ist der Kennwortwechsel dokumentiert?
E-Mail Umstellung
===== Dokument Webmasterwechsel =====
Ist der Kennwortwechsel dokumentiert?
E-Mail Umstellung
===== Dokument Social Media Nutzung =====
Prüfung, ob das Dokument zur Nutzung von sozialen Medien noch aktuell ist.
MRRC_Datenschutz/MRRC Regelungen Datenschutz/MRRC_SocialMediaNutzung.odt
===== Nextcloud Ordner MRRC_Datenschutz =====
Der Ordner MRRC_Datenschutz in der Nextcloud ist regelmäßig aufzuräumen.
===== Dokument Notebook Verlust =====
Welche Kennungen müssen zurückgesetzt werden?
====== Schulung der Mitglieder ======
Der Datenschutzbeauftragte soll Mitglieder mit Zugriff auf Kennwörter und Datenschutz relevante Daten schulen.
Wo speichern Mitglieder die Kennwörter?
DSGVO Grundlagen
===== Verbesserung vom Datenschutz =====
Gibt es Möglichkeiten den Datenschutz im Verein zu erhöhen? Es soll aber aber praktikabel bleiben.
===== Verarbeitungsverzeichnis =====
Prüfung der Datei MRRC_Datenschutz/MRRC_Verzeichnis_Verarbeitungstätigkeiten.ods
Sind alle Verarbeitungstätigkeiten korrekt hinterlegt?
https://www.lda.bayern.de/media/muster_1_verein_verzeichnis.pdf
====== Kontrolle der Systeme ======
Mit den entsprechenden Verantwortlichen ist einmal im Jahre jedes System zu prüfen, das Datenschutz relevante Daten enthält. In der Regel ist das mit einem Vertreter vom Vorstand durchzuführen, da dieser Zugriff auf die Mitgliederdatenbank hat.
D.h. für folgende System ist zu prüfen, ob die hinterlegten Nutzer noch aktuell sind und sinnvolle Berechtigungen haben.
===== DokuWiki =====
Unter der Domain https://doku.mrrc.de läuft das DokuWiki des MRRC.
Welcher Benutzerkreis kennt das Kennwort vom Administrator? Istdokumentiert, wer das Kennwort vom Administrator kennt? Wo speichert dieser Benutzerkreis das Kennwort? Wann ist das Kennwort vom Administrator das letzte Mal geändert worden.
Sind die Benutzer noch alle im Verein?
===== Wordpress =====
Beim Wordpress (https://www.silvesterlauf-muenchen.de/) müssen die Benutzer und deren Berechtigungen geprüft werden.
Sind die Benutzer noch alle im Verein?
Welcher Benutzerkreis kennt das Kennwort vom Administrator? Wo speichert dieser Benutzerkreis das Kennwort? Wann ist das Kennwort vom Administrator das letzte Mal geändert worden.
Ist die Seite für den Datenschuz noch aktuell?
https://www.silvesterlauf-muenchen.de/datenschutz/
===== Joomla Verzeichnisschutz =====
Um überhaupt auf den Joomal Administrationsbereich zugreifen zu können, gibt es noch einen Verzeichnisschutz.
Welcher Benutzerkreis kennt das Kennwort? Wo speichert dieser Benutzerkreis das Kennwort? Wann ist das Kennwort vom Administrator das letzte Mal geändert worden?
===== Joomla =====
Beim Joomla (Test und Produktion) müssen die Benutzer und deren Berechtigungen geprüft werden.
Sind die Benutzer noch alle im Verein?
Ist die Seite für den Datenschutz noch aktuell? https://mrrc.de/index.php/datenschutz
===== Nextcloud =====
Beim der Nextcloud müssen die Benutzer und deren Berechtigungen geprüft werden.
Sind die Benutzer noch alle im Verein?
Welcher Benutzerkreis kennt das Kennwort vom Administrator? Istdokumentiert, wer das Kennwort vom Administrator kennt? Wo speichert dieser Benutzerkreis das Kennwort? Wann ist das Kennwort vom Administrator das letzte Mal geändert worden.
==== 8.4.1.MRRC_Silvesterlauf ====
Es ist zu kontrollieren, ob alles Datenschutz relevanten Dateien die älter als 3 Jahre sind gelöscht werden.
===== Limesurvey =====
Beim Limesurvey (Umfragesoftware) müssen die Benutzer und deren Berechtigungen geprüft werden.
Sind die Benutzer noch alle im Verein?
Welcher Benutzerkreis kennt das Kennwort vom Administrator? Wo ist dokumentiert, wer das Kennwort vom Administrator kennt? Wo speichert dieser Benutzerkreis das Kennwort? Wann ist das Kennwort vom Administrator das letzte Mal geändert worden.
===== Piwigo =====
Beim Piwigo (Fotogalerie) müssen die Benutzer und deren Berechtigungen geprüft werden.
Sind die Benutzer noch alle im Verein?
Welcher Benutzerkreis kennt das Kennwort vom Administrator? Wo ist dokumentiert, wer das Kennwort vom Administrator kennt? Wo speichert dieser Benutzerkreis das Kennwort? Wann ist das Kennwort vom Administrator das letzte Mal geändert worden.
===== Notebook =====
Mit einer Person mit den Administrationsrechten für das Notebook werden die Benutzer vom Vereinsnotebook geprüft.
Sind die Benutzer noch alle im Verein und müssen einen Benutzer auf den Notebook haben?
Welcher Benutzerkreis kennt das Kennwort vom Administrator? Wann ist das Kennwort vom Administrator das letzte Mal geändert worden.
===== GitHub =====
Unter GitHub (https://github.com/mrrc-muc) liegen ein paar Skripte für die Webmaster.
Unter der Adresse https://github.com/mrrc-muc/mrrc-webadmin/settings/access ist unter Collaborators zu prüfen, welcher Benutzerkreis Zugriffsrechte hat.
===== Webmaster Keepass =====
Die notwendigen Kennungen für die Webmaster sind der Datei MRRC_Webmaster/mrrc_webmaster.kdbx in der Nextcloud hinterlegt.
===== LG Stadtwerke intern =====
Es ist bei der LG Stadtwerke zu erfragen, wer vom MRRC für den internen Bereich (https://intern.lg-swm.de) einen Zugang hat. Die Personenliste ist mit dem Vorstand zu prüfen.
===== Hosteurope =====
==== Kundenzugang ====
Welcher Benutzerkreis hat Zugriff auf das Kundenportal von Hosteurope? Wo ist dokumentiert, wer das Kennwort kennt? Wo speichert dieser Benutzerkreis das Kennwort? Wann ist das Kennwort vom Administrator das letzte Mal geändert worden.
==== Hinterlegte Kundenkontaktdaten ====
Prüfung, ob die Kontaktdaten in Hosteurope korrekt sind.
==== SSH Zugang ====
Welche Personenkreis hat SSH Schlüssel bei Hosteurope hinterlegt. Nur die Webmaster dürfen den SSH Zugang nutzen.
~/.ssh/authorized_keys
Von jedem öffentlichen Schlüssel soll der Besitzer zu erkennen sein.
==== FTP Zugang ====
Es ist zu prüfen, welche FTP Zugänge hinterlegt sind.
==== E-Mail Konten ====
Zu prüfen ist, ob die persönlichen E-Mail Konto von Vereinsmitgliedern sind. Das ist mit jemandem vom Vorstand mit Zugriff auf die Mitgliederverwaltung zu prüfen.
Außerdem sollten nur Mitglieder mit Funktionen im Verein ein E-Mail Konto besitzen.
==== E-Mail Alias ====
Wer ist in welchen E-Mail-Verteilern hinterlegt?
Welche Personen haben persönliche E-Mails hinterlegt?
Der Datenschutzbeauftragte lässt sich vom Vorstand die Liste der Benutzer für folgende Systeme vorlegen.
==== Backup ====
Es ist zu prüfen, ob regelmäßig Backups von allen Websystemen erstellt werden. Backups müssen auch wieder gelöscht werden.
Das erfolgt über CronJob von Hosteurope mit entsprechenden Skripten.
===== E-Mail Postfächer =====
Wie kann geprüft werden, das sowohl in persönlichen E-Mail-Postfächern als auch in Gemeinschaftskonten Datenschutz relevante E-Mails gelöscht werden?
==== Persönliche Postfächer ====
Sicherstellung das in den persönlichen Postfächern Datenschutz relevante E-Mails gelöscht werden. Ein Indiz ist über Hosteurope zu prüfen, wie viele E-Mails in den persönlichen Postfächern vorhanden sind.
==== Funktionspostfächer ====
In den Funktionspostfächern ist zu prüfen, das Datenschutz relevante E-Mails gelöscht werden.
===== Instagram =====
https://www.instagram.com/mrrc_muenchen/
Prüfung der Dokumentation, wer das Passwort kennt.
Prüfung, wann das Passwort das letzte Mal geändert worden ist.
Kontrollen der Veröffentlichungen, ob diese mit dem Datenschutz konform sind.
===== Facebook =====
https://www.facebook.com/MRRC.Muenchen/
Prüfung der Dokumentation, wer das Passwort kennt.
Prüfung, wann das Passwort das letzte Mal geändert worden ist.
Kontrollen der Veröffentlichungen, ob diese mit dem Datenschutz konform sind.
===== Tür zur Geschäftsstelle =====
Es ist die Dokumentation zur Prüfung, welcher Benutzerkreis die Möglichkeit hat, das Schloss zu konfigurieren.
Wann sind das letzte Mal alle Kennungen gelöscht worden? Spätestens, wenn jemand mit der Möglichkeit der Verwaltung der Codes aus dem Vorstand austritt, müssen alle Codes gelöscht und neu gesetzt werden. Hintergrund ist, das man nicht alles Codes auslesen kann. D.h. ein Code der nicht dokumentiert ist, fällt nicht auf.
===== Tresor in der Geschäftsstelle =====
Prüfung der Dokumentation, wer das Passwort kennt.
Prüfung, wann das Passwort das letzte Mal geändert worden ist.
===== Abus Schlüsseltresor =====
Prüfung der Dokumentation, wer das Passwort kennt.
Prüfung, wann das Passwort das letzte Mal geändert worden ist.
===== Aktenschrank in der Geschäftsstelle =====
Prüfung der Dokumentation, wer das Passwort kennt.
Prüfung, wann das Passwort das letzte Mal geändert worden ist.
===== Bioracer =====
?????
===== Digitales Antragssystem der DOSB =====
??????
===== Sparkasse Maestro Karte =====
Prüfung der Dokumentation, wer das Passwort kennt.
Prüfung, wann das Passwort das letzte Mal geändert worden ist.
===== Sparkasse Konto =====
Prüfung der Dokumentation, wer das Passwort kennt.
Personalisierte Zugänge?
Prüfung, wann das Passwort das letzte Mal geändert worden ist.
===== Verein 360 =====
Prüfung der Dokumentation, wer das Admin Passwort kennt.
Prüfung, wann das Passwort das letzte Mal geändert worden ist.
===== Vereinsapp =====
==== Adminzugang ====
Prüfung der Dokumentation, wer das Admin Passwort kennt.
Prüfung, wann das Passwort das letzte Mal geändert worden ist.
==== Benutzerverwaltung ====
Es sind Stichproben durchzuführen, ob Nichtmitglieder Zugang haben.
Überprüfung vom Prozess für das Anlegen und Löschen von Benutzern.
==== Ansprechpartner ====
Im Bereich mehr ist eine Übersicht von Ansprechpartnern im Verein. Hier ist zu prüfen, ob die genannten Personen noch im Verein sind und das Amt inne haben.
===== Code für Schloss zum Stadion =====
Vor der Geschäftsstelle ist ein Minisafe mit Zahlenschloss in dem der Schlüssel für das Licht und die Umkleiden im Dantestadion hinterlegt ist.
Prüfung der Dokumentation, wer den Code kennt.
Prüfung, wann das Passwort das letzte Mal geändert worden ist.
===== VNR Verlag Schatzmeister Aktuell =====
Prüfung der Dokumentation, wer das Admin Passwort kennt.
Prüfung, wann das Passwort das letzte Mal geändert worden ist.
===== VNR Verlag Verein & Vorstand aktuell =====
Prüfung der Dokumentation, wer das Admin Passwort kennt.
Prüfung, wann das Passwort das letzte Mal geändert worden ist.
===== M-Net Portal =====
Prüfung der Dokumentation, wer das Admin Passwort kennt und ob der richtige Vorstand als Kontakt hinterlegt ist.
Prüfung, wann das Passwort das letzte Mal geändert worden ist.
===== Fritzbox =====
==== Admin Kennung ====
Prüfung der Dokumentation, wer das Admin Passwort kennt.
Prüfung, wann das Passwort das letzte Mal geändert worden ist.
==== WLAN Passwort ====
Prüfung der Dokumentation, wer das WLAN Passwort kennt.
Prüfung, wann das Passwort das letzte Mal geändert worden ist.
==== WLAN Gast Passwort ====
Das Password für den Gast Zugang soll einmal im Jahr geändert werden.
Prüfung, wann das Passwort das letzte Mal geändert worden ist.
==== Backup ====
Von der Fritzbox soll zweimal im Jahr ein Backup gemacht werden und speziell nach einer großen Änderung.
Das Backup liegt in der Nextcloud unter MRRC_Webmaster/Fritzbox Backup
==== Updates ====
Es ist zu prüfen, ob all verfügbaren Updates zur Verfügung stehen.
===== Mitgliederverwaltung Sewobe =====
==== Benutzerzugänge ====
Bei SEWOBE gibt es keine eigene Administrationskennung, aber persönliche Benutzerkennungen können Administratorrechte haben. Es ist zu prüfen, ob sinnvolle Personen dieses Recht haben.
Es ist zu prüfen, ob nur Personen Zugriff auf Sewobe haben, wo es Sinn macht.
Prüfung der Berechtigungen in Sewobe.
==== Mitgliederdaten ====
Prüfung, ob der Prozess zum Löschen von Mitgliederdaten eingehalten wird. Das beinhaltet das Informieren der Webmaster über ausgetretene Mitglieder. Verweis auf Dokumente mit den Details.
==== ServicePortal ====
Das ServicePortal ist ein Übersicht für die Support Anfragen.
https://serviceportal.sewobe.de
Es ist zu prüfen, ob sinnvolle Personen dieses Recht haben.
==== LADV ====
Leichtathletik Datenverarbeitung https://ladv.de
Prüfung der Dokumentation, wer die Benutzerkennung kennt kennt und wann das Passwort das letzte Mal geändert worden ist.